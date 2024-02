Cyberangriffe auf Fahrzeuge: Besonders gefährdet sind Elektroautos

Je mehr elektronische Systeme in Fahrzeuge eingebaut werden und je weiter sie im Inneren wie auch mit der Umwelt vernetzt werden, desto höher wird die Gefahr von Angriffen. Eine Studie des Center of Automotive Management (CAM) hat sich jetzt mit der Cybersicherheit von Fahrzeugen befasst; das ist der Einstieg in eine Langzeitstudie, die Schritt für Schritt auch die einzelnen Bereiche genauer untersuchen soll. Das CAM ist ein bei der Fachhochschule der Wirtschaft in Bergisch-Gladbach angesiedeltes Institut.

Grundsätzlich gibt es Vorgaben zur Cybersicherheit; diese gelten allerdings in unterschiedlichen Bereichen, die USA und China beispielsweise haben eigene Regelungen. Die Regelungen für die EU gelten ab Juli für alle vorhandenen Fahrzeuge; so müssen zwei Fahrzeugmodelle vom europäischen Markt genommen werden, weil sie diesen Regelungen nicht entsprechen: der VW up! und der Porsche Macan.

Angriffspunkt bei den Fahrzeugen sind zu 89,3 Prozent die Kommunikationskanäle der Fahrzeuge; deren Zahl hat sich allerdings ebenfalls immer weiter erhöht. Das sind zum Beispiel interne Navigationsgeräte, aber auch die Steuerung des Ladevorgangs bei Elektrofahrzeugen oder die Schnittstelle für die Diagnose in Werkstätten, über die neue Softwareversionen aufgespielt werden. Dabei sind nicht nur persönliche Daten der Besitzer gefährdet, sondern unter Umständen ist auch ein Zugriff auf die Funktionen des Fahrzeugs selbst möglich. So wird ein Vorfall aus dem März 2023 zitiert, bei dem Hackern aus der Ferne ein Eindringen in ein Tesla-Fahrzeug gelang, bei dem sie die Hupe betätigen, den Kofferraum öffnen und das Abblendlicht einschalten konnten.

Wie tief diese Daten gehen können, zeigte sich, als in den USA verboten wurde, mit Teslas auf die Parkplätze von Geheimdiensten zu fahren, weil die Kameras des Fahrzeugs alles aufzeichneten, was um sie herum geschah.

Bei Kia, Honda, Infiniti, Nissan und Acura, zitiert der Autor einen Versuch von "gutartigen Hackern", konnten die Verriegelung, Entriegelung, Motorstart, Motorstopp und Präzisionsortung geknackt werden. Es war nicht nur möglich, die persönlichen Daten des Nutzers abzugreifen, sondern sie konnten auch aus der Ferne von ihrem Fahrzeug ausgeschlossen werden. Mercedes-Benz hatte offenbar ein Softwareproblem, das ebenfalls personenbezogene Daten zugänglich machte.

Solche Versuche von "gutartigen Hackern" können genutzt werden, um Schwachstellen zu erkennen. Allerdings berichtet die Studie, das Problem werde nach wie vor deutlich unterschätzt. Dabei habe sich die Zahl von Cyberangriffen von 2021 auf 2022 mehr als verdoppelt.

Auch die Automobilindustrie selbst kann zum Opfer von Cyberattacken werden; dabei geht es meist um Angriffe auf die Lieferketten oder um sogenannte "Ransomware", Software, die so lange blockiert, bis ein Lösegeld entrichtet wird. Dabei wird in der Studie die Aufmerksamkeit der Mitarbeiter für diese Frage als größtes Problem gesehen.

Einem Bereich widmet die Studie größere Aufmerksamkeit: den Problemen bei der Ladeinfrastruktur für Elektrofahrzeuge. Dabei ist der größte Auslöser von Schwierigkeiten die Tatsache, dass es schlicht zu viele Beteiligte gibt. Zwischen Stromlieferant und Abnehmer, sprich dem Besitzer des aufzuladenden Fahrzeugs, gibt es noch viele verschiedene Mobilitätsanbieter, die die Ladung abrechnen. Die Kommunikation zwischen Stromlieferant und Mobilitätsanbieter wie auch jene zwischen Kunden und Mobilitätsanbieter hält bisher bei Weitem nicht die Sicherheitsstandards ein, die sonstige Bezahlsysteme haben. Das ermöglicht es beispielsweise, auf unterschiedliche Weise mit fremden Daten aufzuladen; aber unter Umständen auch, Bewegungsprofile anhand zugänglicher Nutzerdaten zu erstellen oder gar in die Steuerung des Ladevorgangs selbst einzugreifen.

Fazit der Betrachtung: Trotz der vorhandenen Vorschriften ist die Entwicklung der Sicherheit von Netzwerken in Fahrzeugen noch bei Weitem nicht auf dem erforderlichen Stand. Aber zumindest sieht die Datenschutzgrundverordnung vor, dass entsprechende Vorfälle gemeldet werden müssen.

